Für Verbraucher
Für Unternehmen

<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Wie gehen Sie in Ihrer Firma mit fremden USB-Sticks um? Also zum Beispiel mit den Sticks mit der Präsentation der Partnerfirma, die gerade bei Ihnen zu Besuch ist. Oder den privaten Sticks der Mitarbeiter, die Teile für eine wichtige berufliche Präsentation daheim erarbeitet haben und diese nun weiterbearbeiten wollen. Oder natürlich den Sticks, die eine Mitarbeiterin oder ein Mitarbeiter auf dem Parkplatz gefunden haben?</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Gerade das letzte Szenario wird gerne von Sicherheitsforschern zitiert. Ein auf dem Firmengelände “verlorener” (in Wirklichkeit von einem Angreifer oder einer Angreiferin absichtlich platzierter) USB-Stick wird gefunden, und im Unternehmensnetzwerk an den Büro-PC angesteckt. Ein bösartiges File öffnet eine Hintertür für die Person hinter dem Angriff, von der aus diese unbemerkt weiter in das Netz der Firma vordringt. Klingt ein wenig simpel, aber die Angreifer appellieren durch verschiedene Methoden an verschiedene menschliche Schwächen.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">So könnte an dem Stick zum Beispiel ein oder zwei Schlüssel hängen, und eine kleine Plüschfigur. Die Hilfsbereitschaft vieler Personen wird diese dazu verleiten, den Stick zurückgeben zu wollen; vielleicht ist ja mehr Information auf dem Stick, um die Eigentümerin oder den Eigentümer zu ermitteln?</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Oder vielleicht wird an Gier appelliert — dann klebt man einen Aufkleber auf den Stick, auf dem nur “Bitcoin-Wallet” steht.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Neugier ist selbstverständlich auch eine stark motivierende Kraft — dann steht auf dem Aufkleber eben “Gehaltsliste 2018” — Sie sehen, mit ein bisschen Aufwand wird das Szenario schon wahrscheinlicher, dass jemand aus gutem oder schlechtem Vorsatz die Richtlinien und Anweisungen umgeht.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Elie Burzstein, Leiter des Anti-Abuse Teams bei Google, und Kollegen haben diese Methode zusammen mit den Universitäten Illinois und Michigan geprüft. Von 297 USB-Sticks wurden mindestens 48% angesteckt, mit einer Rekordzeit von 6 Minuten nach Verteilung bis zur erfolgreich <a href="https://elie.net/static/files/users-really-do-plug-in-usb-drives-they-fi...öffneten Hintertür</a>. </span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Häufig haben Firmen Richtlinien und Anweisungen, die die Benutzung ungeprüfter, fremder Sticks strikt ausschließen. Die Notwendigkeit, den Anschluss von USB-Medien zu protokollieren und zu prüfen, wird bereits im BSI-Grundschutz-Baustein “M 4.200 Umgang mit USB-Speichermedien” beschrieben; und anhand der daraus entnommenen Textstelle “Die Preise sind so stark gefallen, dass USB-Sticks auch im Privatbereich Disketten überflüssig machen können.” kann man erahnen, wie alt diese Richtlinie ist.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Nur helfen eben Richtlinien wie gerade beschrieben nicht immer weiter. Und das Szenario mit den USB-Sticks auf dem Parkplatz ist zwar das mit dem größten Bedrohungspotential, aber die anderen Szenarien kommen im Arbeitsalltag sicher sehr viel häufiger vor. Wenn Security im Weg derer steht, die ihre Arbeit erledigen wollen, wird sie umgangen; wie jedes Hindernis. Eine entsprechende Richtlinie ist schnell vergessen, wenn der Vorstand tagt, der Hauptredner seine Präsentation auf einem USB-Stick mitbringt und ein Mitarbeiter gebeten wird, diese vom Stick auf das Netzlaufwerk zu übertragen.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Wenn man es auf organisatorischer Ebene nicht oder nur schwer reglementieren kann, kann man sowohl in der Usability als auch in der Sicherheit punkten, wenn man den Benutzerinnen und Benutzern eine legitime, schnelle, technisch abgesicherte und unkomplizierte Methode zur Übertragung von Dateien von USB-Sticks zur Verfügung stellt. Über einen dedizierten, netzwerktechnisch separierten Virenprüfkiosk kann man so etwas beispielsweise bewerkstelligen: man befähigt damit die Mitarbeiterinnen und Mitarbeiter, keine Organisationsanweisungen verletzen zu müssen, um ihre Arbeit erledigen zu können. Ein solcher Kiosk kann zum Beispiel am Eingang des Unternehmens platziert werden. Nach einer Authentisierung durch z.B. eine SmartCard und Stecken des Sticks erlaubt man der Person, ausgewählte Dateien an ein Netzlaufwerk zu senden, auf das man ebenfalls vom Arbeitsplatz Zugriff hat. Auf dem Weg dorthin durchlaufen die Dateien verschiedenste Sicherheitsmechanismen, wie natürlich Antivirus, Sandboxing etc. — eine wesentlich bessere Alternative zu dem einfach zu umgehenden Verbot des Ansteckens am Arbeitsplatz-PC.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Solche Virenprüfkiosklösungen gibt es von kommerziellen Anbietern, aber natürlich kann man diese auch selbst designen; wichtig dabei ist natürlich, weiterhin alle etablierten Standards beizubehalten und sicher zu stellen, dass schädliche Dateien auf dem Weg gefiltert werden.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Spätestens dann hat man vielen Mitarbeiterinnen und Mitarbeitern geholfen, indem man sie in die Lage versetzt hat, ihren Job erledigen zu können, ohne Handlungsanweisungen zu verletzen. Die Security wird erhöht, das Anstecken gefundener USB-Sticks ist kein Thema mehr und die Belegschaft freut sich, weil vorherige komplizierte Prozesse für die Datenübertragung von extern nach intern stark vereinfacht wurden.</span></p>
<p dir="LTR" align="LEFT"><span style="font-family: Times New Roman, Times; font-size: 12pt;">Security wird meiner Meinung nach auf lange Sicht nur dann Erfolg haben, wenn sie den Benutzerinnen und Benutzern ein einfacheres Arbeiten und simplere Prozesse ermöglicht; ein Virenprüfkiosk wie hier beschrieben ist einer Bausteine auf dem Weg dorthin.</span></p>
<p>&nbsp;</p>
<p>Der Beitrag <a rel="nofollow" href="https://www.dsin-blog.de/2018/11/07/datev-blog-beitrag-s-hager-6/">Vom Umgang mit fremden USB-Sticks</a> erschien zuerst auf <a rel="nofollow" href="https://www.dsin-blog.de">DsiN-Blog | Der IT-Sicherheitsblog für den Mittelstand</a>.</p>

Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen